这是一项艰巨的任务,没有任何方法可以避免麻烦,以确保没有薄弱环节。对于初学者来说,我不知道在Google上托管是否是最好的方法,因为您将失去控制权(我真的不知道App
Engine在设计时是否考虑了所需的安全级别,您应该发现),并且可能无法进行渗透测试(您应该这样做)。
拥有一个单独的小型应用程序可能是一个好主意,但这并不能使您不必在此小型应用程序中加密一种或另一种凭据本身。它只是为您提供了简单性,从而使事情更易于分析。
我个人将尝试设计该应用程序,以便每次使用后密钥都会随机更改,采用一种一次性的方法。您没有指定足够详细的应用程序以查看这是否可行。
